Autarquia Educacional do Vale do São Francisco – AEVSF
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Curso de Ciências da Computação
SEGURANÇA E AUDITORIA DE SISTEMAS
Cynara Carvalho
[email protected]
1
Ementa:
Auditoria de sistemas, PED nas empresas; segurança, formação de
Departamentos de auditoria, levantamentos, procedimentos.
Conteúdo:
1- Conceitos e Organização de Auditoria
2– Segurança nas informações
3– Auditoria da Tecnologia da Informação
4– Segurança em Redes e Internet.
Bibliografia:
Dias, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1ª Edição,
AXCEL BOOKS, 2000.
LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação.
Gil; Antonio de Loureiro. Auditoria de Computadores – 5ª Edição, Atlas 2000
Autor Anônimo. Segurança Máxima, 2ª Edição, Editora Campus, 2000
Tribunal de Contas da União, Manual de Auditoria de Sistemas, 1999.
SÊMOLA, Marcos. Gestão da Segurança da
Informação: uma visão executiva. Rio de Janeiro:
Campus, 2003.
2
Conceitos e Organização de Auditoria
Auditoria: é uma atividade que engloba o exame das operações, processos,
sistemas e responsabilidades gerenciais de uma determinada entidade, com o
intuito de verificar sua conformidade com certos objetivos e políticas
institucionais, orçamentos, regras, normas ou padrões.
Fases da Auditoria:
• Planejamento
• Execução
• Relatório
3
Auditoria e Conceitos básicos

1. CAMPO

1.1 Objeto. Pode ser uma entidade completa (instituição pública ou
privada), uma parte selecionada ou uma função dessa entidade.

1.2 Período. Pode ser de um ano, um mês ou período de uma gestão.

1.3 Natureza. Serão apresentados em seguida os tipos mais comuns,
classificados sob os aspectos: órgão fiscalizador, forma de abordagem do
tema e tipo ou área envolvida.
4
Natureza da Auditoria
Quanto ao Órgão Fiscalizador:
• Auditoria Interna
• Auditoria Externa
• Auditoria Articulada
Quanto à Forma de Abordagem do Tema:
• Auditoria Horizontal – Auditoria com tema específico realizada em várias
entidades ou serviços paralelamente.
• Auditoria Orientada – Auditoria focada em uma atividade específica
qualquer ou em atividade com fortes indícios de erros ou fraudes.
Quanto ao Tipo ou Área Envolvida:
• Auditoria de programas de governo
• Auditoria de planejamento estratégico
• Auditorias administrativa, contábil, financeira, legalidade
• Auditoria operacional
•Auditoria de TI
5
Auditoria e Conceitos básicos

AMBITO
Constitui-se da amplitude e exaustão dos processos de auditoria, incluindo
uma limitação racional dos trabalhos a serem executados. Define então até
que ponto serão aprofundadas as tarefas de auditoria e seu grau de
abrangência.

3. ÁREA DE VERIFICAÇÃO
É o conjunto formado por campo e âmbito da auditoria. Delimita de modo
preciso os temas da auditoria, em função da entidade a ser fiscalizada e da
natureza da auditoria.
6
Abrangência de Auditoria
Área de Verificação
Campo
Âmbito
Sub 1
Objeto
Período
Sub 2
Sub 3
Natureza
7
Outros Termos importantes:
Controles
É a fiscalização exercida sobre as atividades de pessoas, órgãos,
departamentos para que tais atividades, ou produtos, não se desviem das
normas preestabelecidas.
Tipos de Controle:
Controle Preventivo - Usados para prevenir erros, omissões ou atos
fraudulentos.
Controle Detectivos - Usados para detectar erros, omissões ou atos
fraudulentos e ainda relatar sua ocorrência
Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma
vez detectados.
8
Outros Termos importantes:
Objetivo de Controle
São metas de controle a serem alcançadas, ou efeitos negativos a serem
evitados, para cada tipo de transação, atividade ou função fiscalizada.
Procedimentos
Formam um conjunto de verificações necessárias à formulação da opinião do
auditor. Em geral, são lista de pontos a serem verificados durante a auditoria.
Achados de Auditoria
São fatos significativos observados pelo auditor durante a execução da
auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da
instituição auditada.
9
Outros Termos importantes:
Papéis de Trabalho
São registros que evidenciam atos e fatos observados pelo auditor.
Podem estar na forma de documentos, arquivos informatizados, etc...
Estes papéis dão suporte ao relatório final da auditoria, pois registram
a metodologia adotada, procedimentos, verificações, fontes, etc..
Relatório de Auditoria
Onde são feitas as recomendações ou determinações da auditoria,
para corrigir eventuais falhas detectadas, além de apontar
responsáveis, quando for o caso.
10
Auditoria da Tecnologia da Informação
É um tipo de auditoria operacional, que analisa a gestão de recursos,
enfocando os aspectos de eficiência, eficácia, economia e efetividade.
Pode abranger:
• O ambiente de informática como um todo.
• A organização do departamento de informática
• Controles sobre BD´s
• Redes
• Diversos aplicativos
Sub-Áreas de auditoria em ambientes informatizados :
• Auditoria da segurança de informações
• Auditoria da tecnologia da informação
• Auditoria de aplicativos
11
Auditoria da segurança de informações
Determina a postura da organização com relação à segurança das suas
informações. Faz parte da auditoria de TI.
Escopo:
• Avaliação da política de segurança
• Controles de acesso lógico
• Controles de acesso físico
• Controles ambientais
• Planos de contingências e continuidade dos serviços
12
Auditoria da tecnologia da informação
Abrange todos os aspectos relacionados com a auditoria da segurança das
informações além de outros controles que podem influenciar a segurança de
informações e o bom funcionamento dos sistemas da organização.
Controles:
• Organizacionais
• De mudanças
• De operação dos sistemas
• Sobre bancos de dados
• Sobre microcomputadores
• Sobre ambientes cliente-servidor
13
Auditoria de aplicativos
Voltada para a segurança e o controle de aplicativos específicos.
Controles:
• Desenvolvimento de sistemas aplicativos
• Entrada, processamento e saída de dados
• Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele
atendida
14
Exercícios

1. Definir AUDITORIA.
2. Quais as principais FASES de uma Auditoria? Comente sobre cada
uma.
3. Definir CONTROLE.
4. A Auditoria é uma atividade de controle?
5. Como pode ser classificado os Controles? Fale sobre cada um.
6. O que são OBJETIVOS DE CONTROLE?
7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique.
8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria.
9. Citar os tipos mais comuns (NATUREZA) de Auditoria.
10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO.
11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação?
Fale sobre cada uma delas.
12. Quais as sub-áreas da Auditoria da Segurança da Informação?
13. Quais as sub-áreas da Auditoria da Tecnologia da Informação?
14. Quais as sub-áreas da Auditoria de Aplicativos?

Cláudia Dias – págs – 08 a 14













15
Equipe de Auditoria
Profissionais de alta capacidade técnica, em constante aperfeiçoamento,
comprometidos com a organização e com postura adequada.
Conhecimentos necessários:
• Na área que atua, com experiências práticas anteriores.
• Bom nível em sistemas computacionais para planejar, dirigir, supervisionar e
revisar o trabalho executado.
• Quanto mais complexos os elementos do ambiente computacional e o grau
de profundidade esperado dos exames de auditoria, maior a necessidade de
especialização da equipe e/ou do auditor.
• Algumas vezes torna-se necessário contratação externa.
• Normalmente os conhecimentos básicos englobam sistemas operacionais,
software básico, bancos de dados, redes LAN/WAN, avançando até softwares
de controle de acesso, planos de contingências e de recuperação e
metodologias de desenvolvimento de sistemas
16
Equipe de Auditoria
Composição da Equipe:
Contratação de consultoria externa
Desenvolver habilidades em informática nos
auditores com formação básica em contabilidade
e auditoria
Desenvolver habilidades em auditoria
funcionários com formação em análise de
sistemas, ciência da computação, etc...
17
Equipe de Auditoria
Contratação de consultoria externa
• Recomendável para sistemas de alta complexidade e especialização.
• Análise minuciosa do custo-benefício.
• Extensão do trabalho dos consultores, utilizando externa somente onde não
houver disponibilidade na própria equipe.
• Em caso de contratação, os acertos financeiros e cláusulas contratuais
devem ser o mais claros possíveis. Deve-se optar por empresas/pessoas já
com experiência na atividade e checar seus desempenhos em trabalhos
anteriores.
• A equipe externa deve se envolver desde o início dos trabalhos. Deve-se
estabelecer etapas bem definidas e pontos de controle, com supervisão
contínua de integrante da organização contratante.
18
Equipe de Auditoria
Contratação de consultoria externa
Qual o tipo de consultoria mais adequada?
• Deve ter recursos (humanos e tecnológicos) adequados para atingir os
objetivos da auditoria dentro do prazo e com a qualidade esperada.
• Firmas ou organizações – podem dispor de mais recursos e oferecer uma
gama maior de serviços ou profissionais para cada tipo de atividade. No
entanto isso não garante a qualidade dos seus serviços.
• Profissionais autônomos – podem atuar no planejamento estratégico da
auditoria ou nas verificações de campo. Podem complementar a equipe
interna em todo a verificação ou em determinadas fases do processo.
• Tanto firmas como especialistas autônomos podem ser de grande utilidade
no planejamento da auditoria, na condução de entrevistas com o auditado, na
avaliação de controles, na captação de dados dos sistemas, na revisão dos
resultados obtidos e nas recomendações finais do relatório de auditoria.
19
Equipe de Auditoria
Contratação de consultoria externa
Analisando os Candidatos ao Serviço de Consultoria Externa
• Estudar bem as propostas, detalhando os custos do serviços, os recursos
humanos oferecidos, suas habilidades técnicas, plano de trabalho, etc...
• Seleção inicial dos possíveis candidatos, identificando consultores que já
prestaram serviços à organização e reconhecidos no mercado por sua
especialização e qualidade dos serviços.
• Definir os critérios para a análise das propostas dos consultores. A proposta
tem que ser compatível com os requisitos e prazos estabelecidos. Os custos
devem ser bem explicitados para que não haja dúvidas sobre sua
composição.
20
Equipe de Auditoria
Contratação de consultoria externa
Relacionamento com os Consultores Externos
• Para assegurar a qualidade do trabalho, o entrosamento da equipe é
essencial, principalmente se membros não fizerem parte do corpo funcional
da organização.
• Nas auditorias com participação externa, é necessário que os aspectos
relevantes estejam sempre sob o controle do coordenador da equipe,
necessariamente um funcionário da organização.
• Devem ser estipulados pontos de controle durante a execução da auditoria
para que o coordenador avalie periodicamente o trabalho.
• É recomendável a transferência de conhecimentos entre os consultores e os
membros internos da equipe, visando a capacitação dos mesmos para
auditorias semelhantes no futuro.
21
Equipe de Auditoria
Contratação de consultoria externa
Avaliando o trabalho realizado
• É importante analisar os resultados, com a participação da equipe interna,
coordenador e gerência da organização contratante.
• Discutir os pontos fortes e fracos, relatar as dificuldades .
• Comparar resultados esperados com alcançados.
• Orçamento, Prazos, Níveis de qualidade : previsto X real
• Cooperação entre equipe externa e interna, sugestões para futuras auditorias.
22
Equipe de Auditoria
Composição da Equipe:
Desenvolver habilidades em informática nos auditores com
formação básica em contabilidade e auditoria
• A compreensão pode ser mais difícil. A linguagem técnica e as evoluções
constantes podem dificultar um aprendizado adequado.
• As dificuldades decorrentes da falta de boa vontade dos profissionais de
informática ou o uso excessivo de vocabulário técnico.
• Um bom nível de especialização só é conseguido após anos de de formação e
práticas.
23
Equipe de Auditoria
Composição da Equipe:
Desenvolver habilidades em auditoria funcionários com formação
em análise de sistemas, ciência da computação, etc...
• Pode produzir resultados mais satisfatórios e em menor tempo.
• Normalmente as ferramentas de auditoria são computacionais.
• O potencial do profissional de informática que se deseja capacitar e sua
capacidade de adaptação devem ser avaliados criteriosamente.
• A preparação tem que ser contínua, mesmo um profissional já experiente
deve-se manter em dia com os assuntos referentes a auditoria de sistemas.
Participações em seminários e cursos de especialização é indispensável.
Participação em fóruns e consultas a sites de referência também são válidos.
• A equipe deve se preocupar em montar um Manual de Auditoria da TI para a
organização, além de manter um acervo com livros e revistas especializadas para
consultas a qualquer tempo.
24
Equipe de Auditoria
Treinamento

A computação está em constante evolução tecnológica;

O treinamento constante de auditores é imprescindível para que estejam
preparados para realizar auditorias com qualidade e com grau de
profundidade técnica adequado;

Os sistemas atuais são muito complexos e exigem conhecimentos que vão
desde sistemas operacionais, planos de contingências, desenvolvimento de
aplicativos, segurança de informações que trafegam pela internet etc.;

Devem ser traçadas estratégias diferentes de treinamentos a depender do
nível de conhecimento dos auditores.
25
Equipe de Auditoria
Treinamento

Devem ser estimulados a participar de:
. Seminários
. Cursos de especialização
. Workshops
. Congressos
. Grupos de discussão
. Boletins
. Home pages de organizações especializadas.
26
Equipe de Auditoria
Qualificação Profissional



Em alguns países existem organizações que promovem certificações
de qualificação profissional de auditores de sistemas:
ISACA (Information Systems Audit and Control Association –
Certificado de Auditor de Sistemas de Informação (CISA)
British Computer Society – Exame da Sociedade Britânica de
Informática
Institute of Internal Auditors (IIA) – Qualificação em Auditoria
Computacional
27
Equipe de Auditoria
Qualificação Profissional




O IIA e a ISACA, em especial, desempenham um papel
ativo no desenvolvimento de padrões de auditoria e
controle de sistemas de informação.
Sob demanda, provêem informações sobre suas
publicações, padrões e qualificação.
A certificação de auditor de sistemas é sempre
atualizada.
Algumas organizações ao contratar serviços de auditoria
exigem a apresentação de certificados atualizados.
28
Equipe de Auditoria
Manual de Auditoria – Tecnologia da Informação
OBJETIVO:


Orientar o trabalho dos auditores
Difundir o conhecimento nessa área
- O nível de detalhamento desse material dependerá do tamanho da
equipe, do tempo disponível para desenvolver essa documentação
e do grau de qualificação técnica de seus componentes.
- Caberá à chefia decidir se serão elaborados documentos
específicos ou se serão utilizadas publicações de outras entidades
de fiscalização e controle em TI.
29
Equipe de Auditoria
Biblioteca Técnica






O grupo de auditores deverá ter à sua disposição uma biblioteca
técnica para consulta. Com isso:
Os trabalhos serão orientados de acordo com padrões existentes;
A equipe estará sempre atualizada;
Terão à disposição publicações técnicas como fonte de pesquisa;
Deve manter nessa biblioteca todos os relatórios de auditorias em
TI;
Deverá dispor ainda: legislação e normas, manuais de auditoria e
procedimentos, livros de informática, revistas, manuais de
treinamentos, artigos de jornais relacionados etc.
30
Equipe de Auditoria
Organização da Equipe Especializada




Uma única pessoa não deterá todos os conhecimentos necessários em TI
para uma auditoria;
É necessário que uma equipe de auditoria seja formada por auditores com
diferentes especializações;
Cabe à gerência desenvolver as especializações que faltam, através de
treinamento adequado, e administrar o grupo como um time coeso que se
complementa;
Formada essa equipe, esta pode atuar em auditorias de tecnologia da
informação ou como suporte técnico a outras equipes de auditoria.
31
Equipe de Auditoria
Administrando Recursos Escassos

Auditores de sistemas são considerados recursos humanos escassos,
por isso suas atividades são definidas apenas nos casos em que sua
atuação é realmente necessária;

Uma forma de amenizar essa escassez é formando auditores para
atuar como suporte básico de informática nas equipes de auditoria
de caráter genérico - AUDITOR GENERALISTA;

Normalmente o auditor generalista executa atividades de caráter
preliminar em ambientes de informática ou sistemas considerados
pouco complexos para determinar a estratégia de auditoria mais
adequada.
32
Equipe de Auditoria
Administrando Recursos Escassos

É necessário que as atividades de cada auditor sejam bem definidas, bem
como o suporte técnico dado pelos auditores especializados, limites de
atuação, relacionamentos entre eles, etc.;

Os planos de auditoria devem ser elaborados levando em conta os recursos
humanos disponíveis. Devem ser elaborados planos de preferência anual;

A tendência é que no futuro todos os auditores tenham conhecimentos
necessários para realizar auditorias de sistemas;

É necessário que a função de auditoria se adapte aos novos ambientes e
necessidades do mercado.

Espera-se com o uso cada vez mais intenso do computador que haja um
aumento no mercado desse profissionais.
33
Equipe de Auditoria
Planejamento de Atividades
Em organizações de auditoria geralmente as atividades são
planejadas em três níveis, baseados em períodos de tempo
diferentes:
Plano Estratégico de Longo Prazo:
 Normalmente para períodos de 3 a 5 anos;
 Objetivos mais amplos, atinge toda a organização e tem que ser
aprovado pela gerência superior;
 Define metas, forma de atuação, recursos necessários, necessidades
de treinamento etc.
 É aconselhável revisar a atualizar anualmente.

34
Equipe de Auditoria
Planejamento de Atividades

Em organizações de auditoria geralmente as atividades são
planejadas em três níveis, baseados em períodos de tempo
diferentes:
Plano Estratégico de Médio Prazo:
 Traduz o plano de longo prazo para um programa de atividades para
o ano que se inicia;
 Em geral, procura atender as demandas das auditorias genérica por
auditorias mais especializadas;
 Normalmente aprovada pela gerência intermediária, define os
objetivos macros das auditorias a serem feitas em seguida;
 Deve ser flexível para aceitar as alterações necessárias.
35
Equipe de Auditoria
Planejamento de Atividades
Em organizações de auditoria geralmente as atividades são
planejadas em três níveis, baseados em períodos de tempo
diferentes:
Plano Estratégico Operacional:
 Baseia em auditorias individualizadas
 Contem detalhes exatos dos objetivos, áreas a serem auditadas,
recursos necessários, prazos, objetivos de controle e procedimentos
de auditoria a serem seguidos.
 É o plano específico de uma determinada auditoria;
 Será tratado a seguir (planejamento e execução).

36
Exercícios









1. Que habilidade deve ter um gerente de equipe de auditoria?
2. Que habilidade deve ter um Auditor de Tecnologia da Informação?
3. Que habilidade deve ter um Auditor de Tecnologia da Informação,
segundo o Padrão Internacional de Auditoria?
4. Quais são as 3 opções possíveis na formação de uma equipe de
auditoria?
5. Das 3 opções da questão anterior qual a que você considera mais viável
para a formação de uma equipe de Auditoria em Tecnologia da Informação?
6. Quais são as 2 categorias de consultoria externa? Fale sobre cada uma
delas.
7. Quais os principais meios de qualificação/atualização na área de
tecnologia da informação? Fale sobre cada um deles.
8. Quais são os níveis de planejamento de atividades em auditoria de
tecnologia da informação? Fale sobre cada um deles.
Cláudia Dias – págs 14 a 25
37
Planejamento e Execução de Auditoria
A fase de planejamento identifica os instrumentos indispensáveis à sua
realização. Estabelece, entre outras coisas:
• Recursos necessários
• Área de verificação
• Metodologias
• Objetivos de controle
• Procedimentos a serem adotados
Pesquisa de fontes de informação:
• A maior quantidade possível de informações da entidade auditada e seu
ambiente de informática deve ser levantada.
• Estas informações possibilitam uma noção da complexidade dos sistemas e
estabelecer os recursos e conhecimentos técnicos necessários.
• Tipos de informações técnicas: hardware, SO, sistemas de segurança,
aplicativos e os responsáveis pelas áreas.
38
Planejamento e Execução de Auditoria
Definindo Campo, Âmbito e Sub-áreas
• O campo da auditoria é composto por objeto, período e natureza.
• Em auditorias de informática, a natureza é a própria auditoria de TI.
• O Objeto pode englobar um sistema computacional, uma ou mais seções do
deptº de informática ou toda a organização em termos de políticas de
informática.
• O período depende do grau de profundidade das verificações (âmbito) e das
sub-áreas.
• Tendo definido o conjunto campo e âmbito, é fixada toda a área de verificação
Definindo os Recursos Necessários
• Recursos humanos
• Recursos econômicos
• Recursos técnicos
39
Planejamento e Execução de Auditoria
Área de Verificação – DEPARTAMENTO DE INFORMÁTICA
Âmbito
Avaliação da
eficácia dos
controles
Campo
Objeto
Segurança de
informações
Sub 1
Controles
de Acesso
Físico
Período
01/08 a
30/09/2002
Sub 2
Sub 3
Controles
de Acesso
Lógico
Backup
Natureza
Audit. TI
40
Metodologias
Entrevistas
Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar
os resultados do trabalho.
• Entrevista de Apresentação
• Entrevistas de Coleta de Dados
• Entrevistas de discussão das deficiências encontradas
• Entrevistas de encerramento
Uso de Ferramentas de Apoio (CAATs)
• Técnicas de análise dados
• Técnicas para verificação de controles de sistemas
• Outras ferramentas
41
Planejamento e Execução de Auditoria
Metodologias

Técnicas de análise dados
Os dados do auditado pode ser coletados e analisados com o auxílio de
softwares de extração de dados, de amostragem, de análise de logs e
módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos
da entidade

Técnicas para verificação de controles de sistemas
Permite testar a efetividade dos controles dos sistemas do auditado. Podese analisar sua confiabilidade, e ainda determinar se estão operando
corretamente a ponto de garantir a fidedignidade dos dados.

Dentre as técnicas mais utilizadas, pode-se citar:
- Massa de dados de teste, simulações, software de comparação de
programas,
- mapeamento e rastreamento de processamento
42
Metodologias

Outras ferramentas

Existem ferramentas que não são necessariamente de apoio à
auditoria, mas
auxilia o auditor durante a execução da auditoria e na elaboração do
relatório.
Se encontram nessa categoria: editores de textos, planilhas
eletrônicas, banco de dados e softwares para apresentações.


43
Objetivos de Controle e Procedimentos de Auditoria

Os objetivos de controle norteiam a auditoria em várias áreas
especializadas e organizacionais.

Para realizar uma avaliação da atuação de outros profissionais, é
necessário que o avaliador tenha um modelo normativo, um
conjunto de padrões, de como a atividade deveria estar sendo feita.

O modelo normativo é traduzido em objetivos de controle a serem
avaliados pelo auditor em cada área específica.
44
Objetivos de Controle e Procedimentos de Auditoria




EXEMPLO:
Na área de segurança, um dos objetivos de controle pode ser o
estabelecimento
de
regras
para
acesso
aos
recursos
computacionais.
Alguns procedimentos de auditoria relacionados ao objetivo acima
citado pode ser: verificar se há documento formal que justifique a
necessidade do usuário para acessar determinados recursos
computacionais;
ou verificar se existem procedimentos que definem os recursos
computacionais que poderão ser acessados e os tipos de transações
que poderão ser executadas por cada usuário autorizado.
45
Objetivos de Controle e Procedimentos de Auditoria

ENFOQUES E MOTIVAÇÕES:

Segurança – dados e sistemas em que são essenciais a
confidencialidade, a integridade, a disponibilidade de informações;
Atendimento a solicitações externas – verificação de indícios de
irregularidades motivados pela imprensa, denuncia, solicitação de
órgãos superiores;
Materialidade – valor significativo dos sistemas computacionais,
transações, em termos econômico-financeiro;
Altos custos de desenvolvimento – sistemas com altos custos de
desenvolvimento envolvem riscos mais altos para a organização.



46
Objetivos de Controle e Procedimentos de Auditoria

ENFOQUES E MOTIVAÇÕES:

Grau de envolvimento dos usuários - sistemas elaborados sem o
envolvimento dos usuários em geral não atendem satisfatoriamente às suas
necessidades;

A partir do momento em que foram definidas a área de verificação e as
subáreas a serem auditadas, a equipe seleciona os objetivos de controle
mais apropriados e, por fim, utiliza procedimentos de auditoria para testar
se os respectivos objetivos de controle estão sendo seguidos pela entidade.

Normalmente as organizações ligadas à auditoria da tecnologia da
informação publicam manuais de orientação contendo objetivos de controle
e procedimentos de auditoria típicos em um ambiente de informática.
47
Procedimentos de Auditoria
Execução:
Na execução, a equipe deve reunir evidências confiáveis, relevantes e úteis
para os objetivos da auditoria.
Tipos:
• Evidência física
• Evidência documentária
• Evidência fornecida pelo auditado
• Evidência analítica
Todas essas evidências devem estar organizadas nos papéis de trabalhos,
para facilitar a elaboração do relatório.
48
Relatório
A forma como o auditor apresenta seus achados e conclusões, com
comprovações, incluindo recomendações e, conforme o caso, determinações.
• Deve ser claro, objetivo, sem uso exagerado de termos técnicos.
• Glossário ao final, caso haja uso de termos e siglas.
• Bem organizado.
• Relatórios preliminares podem ser apresentados e discutidos com a parte
auditada e/ou com a autoridade contratante.
•O relatório final deve ser revisado por todos os membros da equipe, para
verificar sua consistência, omissões como também uma revisão gramatical.
49
Relatório
Estrutura:
• Dados da entidade auditada.
• Síntese – breve resumo do relatório
• Dados da auditoria – objetivos, período, equipe, metodologia, etc..
• Introdução – breve histórico, resumo de audit. Anteriores, estrutura
hierárquica dos deptº auditados, etc...
• Falhas detectadas – Detalhamento das falhas e irregularidades, com
comentários e justificativas e parecer da equipe.
• Conclusão – Resumo dos principais pontos e recomendações finais
para correção das falhas e apontar pontos fortes.
• Pareceres – Quando necessário, de instâncias superiores.
50
Exercícios Propostos







1. Qual o objetivo do Planejamento de Auditoria?
2. Quais as informações básicas que devem estar contidas em um
Plano de Auditoria?
3. Quais as principais fontes de informações para a elaboração de
um Plano de Auditoria?
4. Quais os recursos necessários para uma auditoria? Fale sobre
cada um.
5. Quais as principais metodologias utilizadas em uma atividade de
auditoria. Fale sobre cada uma delas.
6. Em uma auditoria, a equipe deve reunir evidências
suficientemente confiáveis, relevantes e úteis para a consecução
dos objetivos da auditoria. Fale sobre cada uma dessas evidências.
7. O que deve conter em um relatório de auditoria?
Cláudia Dias – págs – 25 a 36
51